允中 發(fā)自 凹非寺
量子位 | 公眾號 QbitAI

養(yǎng)龍蝦（OpenClaw）的風，終于也是吹進了奶茶圈。

在新茶飲行業(yè)，高峰期的訂單峰值監(jiān)控、多區(qū)域門店的運營數(shù)據(jù)匯總、跨系統(tǒng)的業(yè)務異常排查，一直是茶飲品牌技術(shù)團隊的日常高頻工作。

而古茗在測試使用OpenClaw的過程中發(fā)現(xiàn)，技術(shù)團隊只需要跟龍蝦提問“當前的QPS是多少”、“訂單狀態(tài)是多少”等問題，它就能串聯(lián)整個流程并輸出結(jié)果，員工不再需要登錄多個平臺查看，顯著提效。

不止是新茶飲賽道，這股Agent落地的浪潮，也已經(jīng)滲透進了百貨零售行業(yè)。

作為國內(nèi)頭部百貨企業(yè)，銀泰百貨的日常運營痛點，是既需要面對線下數(shù)十家門店的銷售數(shù)據(jù)復盤、營銷活動效果分析，也需要保障全國門店信息系統(tǒng)的安全穩(wěn)定運行。

而OpenClaw的到來，對于銀泰百貨來說，相當于在其原有“銀泰精靈”的基礎上新增了載體，讓員工使用起來更便捷、觸達效率更高。比如對接內(nèi)部自研的應用監(jiān)控系統(tǒng)，以往監(jiān)控粒度較細，現(xiàn)在它可以自動匯總當天高頻問題并主動告知；從業(yè)務層面，員工想查看當天整體銷售情況，它也能基于業(yè)務數(shù)據(jù)，自動整理并呈現(xiàn)出員工需要關注的核心指標。

但在Agent技術(shù)為實體企業(yè)帶來效率革命的同時，率先嘗鮮的兩家企業(yè)，也都真實遭遇了落地過程中的安全與風險挑戰(zhàn)。

古茗在測試使用中發(fā)現(xiàn)，OpenClaw在執(zhí)行特定搜索任務時，曾引發(fā)API Token持續(xù)滾動調(diào)用、無法自動終止，造成成本浪費；同時，安裝運行時會向用戶申請麥克風等與業(yè)務無關的系統(tǒng)權(quán)限。

銀泰百貨則遭遇了更為直接的業(yè)務干擾，Agent在執(zhí)行安全漏洞掃描任務時，將堡壘機的正常端口自行判斷為漏洞并予以關閉，導致全司運維人員無法登錄系統(tǒng)。

這些一線踩坑的真實案例，也揭開了Agent規(guī)?；涞乇澈?，全行業(yè)都必須直面的核心命題：當Agent從提效工具變成能直接操作企業(yè)核心系統(tǒng)的數(shù)字員工，企業(yè)該如何識別并化解全維度的安全風險，實現(xiàn)安全可控的規(guī)?；涞?？

圍繞這一關乎Agent行業(yè)未來的核心問題，在一場名為“有模有樣——AI場景實踐者說”安全專場直播中，五位來自產(chǎn)業(yè)一線與技術(shù)平臺的核心實踐者，從真實落地案例出發(fā)，全面拆解Agent時代的新型安全風險，并給出了覆蓋全行業(yè)、全規(guī)模企業(yè)的安全落地方案。

他們分別是：

• 古茗科技集團網(wǎng)絡安全總監(jiān)劉星光
• 銀泰商業(yè)集團安全負責人李亞博
• 阿里云智能集團安全產(chǎn)品線產(chǎn)品總監(jiān)祝建躍
• 阿里云智能集團業(yè)務安全負責人鄭雅敏
• 阿里云智能集團開放平臺負責人何登成

企業(yè)為什么急著給Agent“遞槍”？

在拆解安全風險之前，我們首先要厘清一個核心問題：像古茗、銀泰百貨這樣看似與前沿AI技術(shù)距離較遠的實體服務行業(yè)，為什么紛紛開始養(yǎng)龍蝦？

答案藏在Agent技術(shù)帶來的本質(zhì)性變革里。

區(qū)別于傳統(tǒng)生成式AI僅停留在對話交互與內(nèi)容產(chǎn)出的層面，以OpenClaw為代表的Agent，實現(xiàn)了從對話交互到自主執(zhí)行的核心跨越，這也是它能快速破圈的根本原因。

就像劉星光在直播里說的：

我覺得OpenClaw最吸引人的地方，是它是一個自動化的程序。像以前的傳統(tǒng)AI，它可能更多的是生成內(nèi)容、生成圖片，它不可能去幫你執(zhí)行相關任務。但OpenClaw完全不同，它只需要你定一個目標，它就可以真正幫你把東西執(zhí)行下去。當一次執(zhí)行不了，它還會嘗試第二次，并把問題節(jié)點反饋給你。

這就是最核心的區(qū)別。之前的生成式AI，說到底還是個輔助工具，你得一步步引導它，它給你的最終只是內(nèi)容和建議，落地執(zhí)行還是要靠人；但Agent是個真能干活的執(zhí)行者，你只要告訴它最終要達成的結(jié)果，它會自己拆解任務、調(diào)用工具、串聯(lián)流程、完成執(zhí)行，甚至能自主解決過程中遇到的問題。

這種變化，帶來的是真正的技術(shù)平權(quán)。不用你懂代碼，不用懂復雜的系統(tǒng)操作，只要會用自然語言清晰表達需求，就能讓AI幫你完成跨系統(tǒng)、多步驟的復雜工作。

正如鄭雅敏所洞察的那樣：

以往人機交互的范式是通過界面或窗口，流程是靠人去串聯(lián)的。而有了OpenClaw之后，人只需下達一句話，它就能自動拆解任務、智能執(zhí)行并完成結(jié)果。Agent成為了人與數(shù)字世界的連接器，讓人從繁瑣的執(zhí)行中解脫出來，更關注于高級的思考。

這種核心能力的變革，也讓Agent技術(shù)的全行業(yè)滲透成為必然趨勢。

從微觀的企業(yè)組織層面來看，Agent正從單純的提效工具加速蛻變?yōu)槠髽I(yè)的數(shù)字員工，并深刻重構(gòu)企業(yè)的組織與工作模式。李亞博引用了馬斯克的一句話來形容當下的狀態(tài)：

現(xiàn)在的Agent就像給猴子遞槍，我們還在摸索。但在未來，Agent可能會變成我們的數(shù)字同事。我一個人可能帶領著十個數(shù)字同事一起干活。

這就意味著，在未來，一個人可通過多Agent協(xié)同完成復雜的業(yè)務閉環(huán)，甚至催生出估值很高的“一人公司”模式。企業(yè)所管理的資產(chǎn)，將不再僅僅是物理資產(chǎn)和人類員工，更包含這一群龐大且高效的Agent資產(chǎn)。

從宏觀的時代演進層面來看，Agent技術(shù)的普及，如同智能手機當年對功能機的降維打擊。它將成為數(shù)字時代企業(yè)和個人的基礎能力。劉星光做了一個較為貼切的類比：

十幾二十年前手機只是用來撥號的，而現(xiàn)在全是智能手機。如果你現(xiàn)在說不會用智能手機、不會用上面的APP，必然會被時代淘汰。未來也是如此，如果企業(yè)不會用Agent，不會跟AI對話，那可能就會面臨被時代拋棄的風險。

OpenClaw之于當下，如同移動互聯(lián)網(wǎng)早期的iOS與安卓。當技術(shù)紅利的風口全面敞開，任何企業(yè)都無法拒絕這種指數(shù)級的效率飛躍。

一線踩坑實錄：Agent落地的5個致命暗坑

效率的另一面，是全新的風險。

當Agent從技術(shù)概念走進實體企業(yè)的真實業(yè)務場景，它的自主執(zhí)行的核心特性，也帶來了傳統(tǒng)AI時代從未出現(xiàn)過的全維度安全風險。古茗與銀泰百貨的一線實踐，完整呈現(xiàn)了企業(yè)落地Agent過程中需要直面的五大核心隱患。

端口暴露：一個默認配置，就能讓內(nèi)網(wǎng)全線失守

傳統(tǒng)企業(yè)辦公網(wǎng)有著嚴格的網(wǎng)絡邊界管控，但Agent的本地化部署，往往會在不知不覺中打破這一平衡。

古茗在部署過程中發(fā)現(xiàn)，OpenClaw運行服務時需要開啟Gateway網(wǎng)關，默認端口為18789。安裝時選擇快速配置而非進階配置，會直接開啟該端口，且訪問Token會明碼顯示在屏幕上，泄露風險極高。

劉星光在直播中還原了攻擊者的視角：

假設站在紅方的角度，我只需要在企業(yè)內(nèi)網(wǎng)執(zhí)行一條Nmap掃描插件的命令，掃描當前子網(wǎng)內(nèi)有多少臺機器開放了18789端口，就能迅速列出目標。隨后通過漏洞定向打擊，這臺機器就會淪陷。更可怕的是，辦公網(wǎng)通常是一個大的廣播域，一旦單臺終端中招，橫向滲透的風險就會迅速擴散到整個網(wǎng)段。

更棘手的是，這種風險很容易引發(fā)內(nèi)網(wǎng)的全面淪陷。企業(yè)辦公網(wǎng)通常是一個大的廣播域，最多只會把無線和有線網(wǎng)絡分開，很少有公司會給每個團隊劃分單獨的VLAN，管理成本太高。一旦單臺終端中招，橫向滲透的風險就會迅速擴散到整個網(wǎng)段，這也是企業(yè)網(wǎng)絡安全中最難解決的問題。

Skills陷阱：8%的插件帶惡意

Agent之所以強大，很大程度上依賴于其豐富的Skills生態(tài)。無論是連接數(shù)據(jù)庫、調(diào)用搜索引擎還是執(zhí)行特定腳本，都需要依賴第三方Skills。但這正是最大的隱患所在。

李亞博在調(diào)研中發(fā)現(xiàn)了一個的數(shù)據(jù)：

現(xiàn)在行業(yè)生態(tài)里有幾萬個 Skills，基礎調(diào)查顯示至少8% 的Skills存在主觀惡意。

但現(xiàn)實情況是，絕大多數(shù)普通員工根本沒有能力識別這些風險。安裝時看到推薦插件，為了圖省事直接全量勾選，覺得裝得越多功能越強，卻不知道這種行為，等同于直接為未知來源的第三方代碼敞開了系統(tǒng)的最高權(quán)限大門。

這些Markdown文件里隱藏的惡意URL、惡意執(zhí)行邏輯、Prompt注入后門，普通非技術(shù)員工根本無法識別，堪稱“一鍵安裝，即刻中招”。

這被阿里云安全團隊定義為Agent時代的新型軟件供應鏈攻擊。

最棘手的地方在于，這些惡意代碼是員工主動“請”進內(nèi)網(wǎng)的，傳統(tǒng)的邊界防護體系對此幾乎束手無策，成為了企業(yè)安全防護中極其致命的盲區(qū)。

權(quán)限失控：給AI一把鑰匙，等于埋下定時炸彈

除了端口和Skills的隱患之外，權(quán)限，也是安全風險的一大隱患。

為了讓Agent能做更多的活兒，使用者往往會賦予它很高的系統(tǒng)權(quán)限。但這種缺乏最小權(quán)限原則約束的做法，也很容易引發(fā)業(yè)務事故與隱私泄露。

銀泰百貨遭遇的堡壘機端口被關事故，就是非常典型的權(quán)限失控案例。

為了讓Agent完成全系統(tǒng)的安全漏洞掃描，企業(yè)給它開放了端口管理的高級權(quán)限，最終卻導致它僅憑技術(shù)判斷，就關閉了堡壘機的核心端口，造成全司運維人員無法登錄系統(tǒng)的嚴重事故。

古茗在實踐中也發(fā)現(xiàn)了同樣的問題，劉星光提到，OpenClaw甚至會申請麥克風等與業(yè)務完全無關的系統(tǒng)權(quán)限，程序在后臺到底用這些權(quán)限做了什么、執(zhí)行了哪些操作，用戶完全不可視、不可控。更深層的隱患在于，部分員工為了簡化操作，可能會賦予OpenClaw過高的系統(tǒng)權(quán)限，甚至把各類憑證、API密鑰交由Agent管理，一旦權(quán)限失控，企業(yè)核心資產(chǎn)將面臨風險。

祝建躍對此點出了問題的核心，他認為，Agent的自主推理與執(zhí)行特性，決定了其下一步操作充滿了不確定性。將系統(tǒng)核心憑證、API密鑰等超級權(quán)限毫無保留地交由一個存在幻覺可能性的AI去管理，是企業(yè)Agent落地中最普遍的高危風險點。

成本與數(shù)據(jù)雙失控：看不見的消耗，守不住的核心資產(chǎn)

成本與數(shù)據(jù)，同樣也是Agent真正接入業(yè)務時的安全隱患。

古茗遭遇了真實的成本失控案例。劉星光在直播中分享，讓 OpenClaw 執(zhí)行互聯(lián)網(wǎng)內(nèi)容搜索任務時，Agent 持續(xù)調(diào)用 API Token，耗時二十多分鐘仍未自動終止，只能手動停止任務：

它不可控的點在于，你不知道它要搜多少次，它可能搜1萬次都說不準。不僅任務周期遠超預期，還造成了嚴重的成本浪費，就算中途停止，之前消耗的Token也已經(jīng)浪費了。

數(shù)據(jù)安全方面亦是如此。

企業(yè)為了讓Agent完成業(yè)務任務，往往需要向其開放核心經(jīng)營數(shù)據(jù)、訂單數(shù)據(jù)、機密文件等敏感信息，卻無法管控這些數(shù)據(jù)是否會被傳輸至大模型、通過插件泄露至公網(wǎng)，數(shù)據(jù)安全完全處于不可控狀態(tài)。

體系性風險：傳統(tǒng)安全防護體系不好用了

上述四大風險，最終指向了一個最核心的行業(yè)困境：面對Agent時代，企業(yè)沿用了十幾年的傳統(tǒng)安全防護體系，正面臨嚴峻挑戰(zhàn)，難以有效應對Agent時代的新型攻擊模式。

祝建躍指出，企業(yè)傳統(tǒng)的邊界防護等安全體系，無法應對Prompt注入、AI供應鏈攻擊、Agent自主高危操作等新型攻擊模式。

鄭雅敏補充道，Agent的出現(xiàn)擴大了企業(yè)網(wǎng)絡攻擊面，對傳統(tǒng)邊界防護體系帶來顛覆性挑戰(zhàn)，企業(yè)面臨體系性防護失效風險。

從底層原則到全場景落地的安全養(yǎng)蝦指南

一邊是不可逆轉(zhuǎn)的行業(yè)趨勢，一邊是步步驚心的安全風險，那么企業(yè)到底該如何安全養(yǎng)蝦？

基于古茗、銀泰百貨等企業(yè)的一線落地實踐，阿里云已經(jīng)有了一套覆蓋全場景、全規(guī)模企業(yè)的Agent安全落地方案，核心邏輯只有一個：先扎緊安全的籠子，再放開效率的手腳。

第一原則：最小權(quán)限+環(huán)境隔離

阿里云給出的Agent落地首要防護原則，是最小權(quán)限原則搭配獨立環(huán)境隔離。它是所有安全防護的基礎，也是經(jīng)過一線實踐驗證的、有效且簡便的風險防控方案。

這個原則拆解開來其實很簡單：

• 權(quán)限層面，僅為Agent開放完成核心任務的必要權(quán)限，僅安裝業(yè)務必需的Skills插件，多余的權(quán)限一律關閉，沒用的插件一律不裝；
• 環(huán)境層面，為Agent部署獨立的沙箱運行環(huán)境，即便單節(jié)點被入侵，也只能在沙箱內(nèi)運行，無法實現(xiàn)風險擴散，更影響不到企業(yè)的核心業(yè)務系統(tǒng)。

目前古茗計劃采用阿里云Landing Zone解決方案，為 OpenClaw 部署獨立隔離的運行環(huán)境，該方案可實現(xiàn)環(huán)境隔離與權(quán)限精細化管控。

阿里云開放平臺負責人何登成介紹，AI場景適配后的Landing Zone方案，不僅實現(xiàn)業(yè)務與創(chuàng)新環(huán)境的安全隔離，還能實現(xiàn)創(chuàng)新業(yè)務成本獨立核算，兼顧安全、效率與成本管控。

劉星光也直言，獨立隔離的運行環(huán)境，是企業(yè)安全落地Agent的核心基礎，即便單只龍蝦出現(xiàn)安全風險，也能將影響控制在沙箱之內(nèi)。

企業(yè)級的解法：以Agent為中心體系化解決方案

有了安全防護的基礎，針對企業(yè)規(guī)模化部署Agent后的管理與防護痛點，阿里云還推出了企業(yè)級Agent安全中心，構(gòu)建了事前、事中、事后的全閉環(huán)防護體系。

祝建躍詳細介紹了該產(chǎn)品的四大核心能力：

• 其一，針對企業(yè)“不知道風險在哪”的核心痛點，提供風險大盤可視化能力，可自動盤點企業(yè)全量Agent節(jié)點，將全公司Agent資產(chǎn)、風險狀態(tài)統(tǒng)一呈現(xiàn)、批量巡檢，解決企業(yè)“不知道自己養(yǎng)了多少只龍蝦”的管理盲區(qū)；
• 其二，針對Skills供應鏈風險，提供 Skills 前置攔截與掃描能力，為惡意插件增設防火墻，在安裝前完成靜態(tài)與動態(tài)雙重風險檢測，從源頭堵上供應鏈漏洞；
• 其三，針對權(quán)限失控與操作不可視問題，提供全鏈路行為審計能力，完整記錄Agent的全量操作、工具調(diào)用、地址訪問行為，實現(xiàn)風險實時告警、事故可追溯、可定責；
• 其四，配套AI安全護欄、Agent ID Guard身份管控與RAM身份體系，實現(xiàn)模型輸入輸出的風險攔截、企業(yè)員工與Agent權(quán)限的統(tǒng)一精細化管控，形成全流程防護閉環(huán)。

李亞博對這套體系給出了比較務實的評價：

Agent安全中心從三個維度解決了企業(yè)的核心困擾。一是通過風險大盤讓企業(yè)清晰掌握風險全貌，解決了“知道有風險、卻不知道風險在哪”的核心痛點；二是為惡意Skills提供了前置攔截能力，筑牢了供應鏈安全防線；三是全鏈路審計能力讓安全事故可追溯、可定責，完善了事后處置體系。

中小企業(yè)低成本解法：用云原生的默認安全

除了規(guī)?；渴鹬猓瑢τ谥行∑髽I(yè)與個人用戶的輕量化部署需求，阿里云基于云原生能力提供了低門檻、低成本的默認安全方案。

鄭雅敏介紹，阿里云無影、輕量服務器都提供了OpenClaw一鍵部署鏡像，默認關閉公網(wǎng)端口暴露，公網(wǎng)映射采用隨機端口，規(guī)避了默認端口被黑產(chǎn)掃描攻擊的風險；同時系統(tǒng)會自動開展公網(wǎng)暴露端口巡檢，一旦發(fā)現(xiàn)用戶將18789等高危端口開放至公網(wǎng)，會第一時間提醒用戶整改。

這套安全方案的優(yōu)勢在于，底層基礎設施安全已經(jīng)由阿里云全面兜底，所以用戶就不需要再操心服務器、網(wǎng)絡層面的基礎安全問題，只需要聚焦Agent的使用行為與權(quán)限管控即可。

由此，大幅降低了Agent安全部署的技術(shù)門檻與成本投入。

本次專場嘉賓形成了統(tǒng)一共識：

未來Agent將成為企業(yè)操作云資源的核心主體，阿里云的核心目標，是讓OpenClaw、各類Skills與全品類Agent，在阿里云上既能實現(xiàn)全業(yè)務流程的高效跑通，又能從底層杜絕安全、成本、穩(wěn)定性的全維度風險，讓全行業(yè)都能放心落地Agent技術(shù)。

何登成表示，阿里云的核心方向，是打造一朵“Agent 友好”的云，讓Agent在操作阿里云資源時，能夠從底層保障安全性，解決了企業(yè)落地過程中的成本、穩(wěn)定性與安全風險顧慮。

Agent 時代，安全不只是加分項，而是入場券

回顧科技演進的脈絡，每一次生產(chǎn)力工具的躍升，都會不可避免地帶來舊有安全邊界的重構(gòu)。

古茗、銀泰百貨等實體企業(yè)的OpenClaw落地實踐，標志著Agent平民化時代的全面到來。Agent 技術(shù)已經(jīng)從程序員圈層的技術(shù)嘗鮮，滲透到了零售、餐飲、百貨等多個實體行業(yè)，從技術(shù)團隊的專用工具，變成了普通員工都能上手的提效利器，正在成為未來企業(yè)數(shù)字化的基礎配置。

在這樣的行業(yè)趨勢下，Agent時代的安全，已不再是企業(yè)數(shù)字化的加分項，而是企業(yè)擁抱技術(shù)創(chuàng)新、實現(xiàn)規(guī)模化落地的必備入場券。企業(yè)對Agent技術(shù)的應用，不能陷入“重效率、輕安全”的誤區(qū)，一線實踐中的諸多案例已經(jīng)證明，脫離安全管控的 Agent 應用，不僅無法實現(xiàn)持續(xù)效率提升，還可能給企業(yè)帶來業(yè)務中斷、數(shù)據(jù)泄露、成本失控等風險。

Agent技術(shù)的浪潮勢不可擋，其對企業(yè)生產(chǎn)經(jīng)營模式、組織架構(gòu)的重構(gòu)，將成為數(shù)字時代最核心的變革之一。而 Agent時代的紅利，永遠屬于那些既能擁抱創(chuàng)新，又能守住安全底線的企業(yè)。只有構(gòu)建起全維度、全閉環(huán)的Agent安全防護體系，企業(yè)才能真正駕馭Agent技術(shù)的能力，在效率革命中實現(xiàn)安全、穩(wěn)定、可持續(xù)的增長。